Edellisessä blogissani puhuin kolmesta tietoobjektista: Splunk Timechart, tietomalli ja hälytys jotka liittyivät tietojen raportointiin ja visualisointiin. Jos haluat katsoa, voit viitata siihen tässä . Tässä blogissa aion selittää Splunk-tapahtumat, Tapahtumatyypit ja Splunk-tunnisteet.
Nämä tieto-objektit auttavat rikastamaan tietojasi, jotta niiden tekeminen ja raportointi olisi helpompaa.
Joten, aloitetaan Splunk Events.
Splunk-tapahtumat
Tapahtuma viittaa mihin tahansa yksittäiseen dataan. Mukautettuja tietoja, jotka on välitetty Splunk-palvelimelle, kutsutaan Splunk-tapahtumiksi. Nämä tiedot voivat olla missä tahansa muodossa, esimerkiksi: merkkijono, numero tai JSON-objekti.
Haluan näyttää, miten tapahtumat näyttävät Splunkissa:
Kuten yllä olevasta kuvakaappauksesta näet, on oletuskenttiä (isäntä, lähde, lähdetyyppi ja aika), jotka lisätään indeksoinnin jälkeen. Ymmärretään nämä oletuskentät:
- Host: Host on koneen tai laitteen IP-osoitteen nimi, josta tiedot tulevat. Yllä olevassa kuvakaappauksessaOma koneon majoittaja.
- Lähde: Lähde on mistä isäntätiedot tulevat. Se on koko polku tai tiedosto tai hakemisto koneessa.
Esimerkiksi:C: Splunkemp_data.txt - Sourcetype: Sourcetype tunnistaa tietojen muodon, olipa kyseessä sitten lokitiedosto, XML, CSV tai ketjukenttä. Se sisältää tapahtuman tietorakenteen.
Esimerkiksi:työntekijän tiedot - Hakemisto: Se on indeksin nimi, johon raakatiedot indeksoidaan. Jos et määritä mitään, se menee oletusindeksiin.
- Aika: Se on kenttä, joka näyttää ajankohdan, jolloin tapahtuma luotiin. Se on viivakoodattu jokaisessa tapahtumassa, eikä sitä voi muuttaa. Voit nimetä sen uudelleen tai leikata sen ajanjaksoksi sen esityksen muuttamiseksi.
Esimerkiksi:4.3.2016 7:53:51edustaa tietyn tapahtuman aikaleimaa.
Anna meidän oppia, kuinka Splunk-tapahtumatyypit auttavat sinua ryhmittelemään samanlaisia tapahtumia.
kuinka asettaa polku jaavalle
Splunk Tapahtumatyypit
Oletetaan, että sinulla on merkkijono, joka sisältää työntekijän nimen jahenkilöstökorttiettähaluat etsiä merkkijonoa käyttämällä yksittäistä hakukyselyä etsimällä niitä erikseen. Splunk-tapahtumatyypit voivat auttaa sinua täällä. He ryhmittelevät nämä kaksi erillistä Splunk-tapahtumaa ja voit tallentaa tämän merkkijonon yhtenä tapahtumana (Employee_Detail).
- Splunk-tapahtumalaji viittaa tietokokoelmaan, joka auttaa luokittelemaan tapahtumia yhteisten ominaisuuksien perusteella.
- Se on käyttäjän määrittelemä kenttä, joka skannaa valtavan määrän tietoja ja palauttaa hakutulokset koontinäyttöinä. Voit myös luoda ilmoituksia hakutulosten perusteella.
Huomaa, että et voi käyttää putkimerkkiä tai alahakua määritellessäsi tapahtuman tyyppiä. Voit kuitenkin liittää yhden tai useamman tunnisteen tapahtumatyyppiin.Anna meidän oppia, miten nämä Splunk -tapahtumatyypit luodaan.
Tapahtumatyypin luomiseen on useita tapoja:
- Haun käyttö
- Build Event Type -apuohjelman käyttäminen
- Splunk Webin käyttö
- Kokoonpanotiedostot (eventtypes.conf)
Mennään tarkemmin ymmärtämään sitä oikein:
yksi. Haun käyttäminen: Voimme luoda tapahtumatyypin kirjoittamalla yksinkertaisen hakukyselyn.
Luo yksi seuraavista vaiheista:
> Suorita haku hakumerkkijonolla
Esimerkki: index = emp_details emp_id = 3
> Napsauta Tallenna nimellä ja valitse Tapahtuman tyyppi.
Voit viitata alla olevaan kuvakaappaukseen saadaksesi paremman käsityksen:
2. Build Event Type -apuohjelman käyttäminen: Rakennustapahtuman tyyppi -apuohjelman avulla voit luoda tapahtumatyyppejä dynaamisesti hakujen palauttamien Splunk-tapahtumien perusteella. Tämän apuohjelman avulla voit myös määrittää tiettyjä värejä tapahtumatyypeille.
Löydät tämän apuohjelman hakutuloksistasi. Käydään läpi seuraavat vaiheet: 
Vaihe 1: Avaa avattava tapahtumavalikko
Vaihe 2: Etsi alanuoli tapahtuman aikaleiman vierestä
Vaihe 3: Napsauta Rakenna tapahtuman tyyppi
Kun napsautat yllä olevassa kuvakaappauksessa näkyvää koontitapahtuman tyyppiä, se palauttaa valitun tapahtumasarjan tietyn haun perusteella.
3. Splunk Webin käyttäminen: Tämä on helpoin tapa luoda tapahtumatyyppi.
Tätä varten voit seurata näitä vaiheita:
' Mene asetuksiin
»Siirry EvOnnt tyypit
»Napsauta Uusi
Haluan ottaa saman työntekijän esimerkin helpottaakseni sitä.
Hakukysely olisi tässä tapauksessa sama:
index = emp_details emp_id = 3
Katso alla oleva kuvakaappaus saadaksesi paremman käsityksen:
Neljä. Kokoonpanotiedostot (eventtypes.conf): Voit luoda tapahtumatyyppejä muokkaamalla suoraan eventtypes.conf-määritystiedostoa hakemistossa $ SPLUNK_HOME / etc / system / local
Esimerkki: ”Employee_Detail”
Katso alla oleva kuvakaappaus saadaksesi paremman käsityksen:
Tähän mennessä olisit ymmärtänyt, kuinka tapahtumatyypit luodaan ja näytetään. Seuraavaksi kerro meille, miten Splunk-tunnisteita voidaan käyttää ja miten ne tuovat selkeyttä tietoihisi.
kuinka asettaa pimennys
Splunk-tunnisteet
Sinun on tiedettävä, mitä tagi tarkoittaa yleensä. Suurin osa meistä käyttää Facebookin taggaustoimintoa merkitsemään ystäviä viestiin tai valokuviin. Jopa Splunkissa merkinnät toimivat samalla tavalla. Ymmärretään tämä esimerkillä. Meillä on emp_id-kenttä Splunk-indeksille. Nyt haluat antaa tunnisteen (Employee2) emp_id = 2 kenttä / arvo -parille. Voimme luoda tunnisteen emp_id = 2: lle, jota voidaan nyt etsiä Employee2: lla.
- Splunk-tunnisteita käytetään nimeämään tietyille kentille ja arvoyhdistelmille.
- Se on yksinkertaisin tapa saada tulokset pariksi haun aikana. Kaikilla tapahtumalajeilla voi olla useita tunnisteita nopeiden tulosten saamiseksi.
- Se auttaa etsimääntapahtumadatan ryhmät tehokkaammin.
- Tunnisteiden tekeminen tapahtuu avainarvoparilla, mikä auttaa saamaan tiettyyn tapahtumaan liittyviä tietoja, kun taas tapahtumalaji antaa tiedot kaikista siihen liittyvistä Splunk-tapahtumista.
- Voit myös määrittää useita tunnisteita yhdelle arvolle.
Luo Splunk-tagi katsomalla oikean reunan kuvakaappausta.
Valitse Asetukset -> Tunnisteet
Olet ehkä ymmärtänyt, miten tagi luodaan. Ymmärretään nyt, miten Splunk-tunnisteita hallitaan. Asetussivun tagisivulla on kolme näkymää:
1. Luettelo kenttäarvoparin mukaan
2. Luettelo tunnisteen nimen mukaan
3. Kaikki ainutlaatuiset tag-objektit
Anna meidän mennä yksityiskohtiin ja ymmärtää erilaisia tapoja hallitaja saat nopean pääsyn tunnisteiden ja kenttä / arvo-parien välisiin assosiaatioihin.
yksi. Lista kenttäarvoparin mukaan: Tämä auttaa sinua tarkistamaan tai määrittämään joukon tunnisteita kenttä / arvo-parille. Näet luettelon tällaisen pariliitoksen muodostamisesta tietylle tagille.
Katso alla oleva kuvakaappaus saadaksesi paremman käsityksen:
kuinka kääntää merkkijono pythonissa
2. Lista tagin nimen mukaan: Sen avulla voit tarkistaa ja muokata kenttä / arvo-parien sarjoja. Löydät kentän / arvon pariliitoksen luettelon tietylle tagille siirtymällä luetteloon tagin nimen mukaan -näkymään ja napsauttamalla sitten tagin nimeä. Tämä vie sinut tagin tietosivulle.
Esimerkki: Avaa työntekijä 2 -tunnisteen tietosivu.
Katso alla oleva kuvakaappaus saadaksesi paremman käsityksen:
3. Kaikki yksilölliset tag-objektit: Sen avulla voit antaa kaikki järjestelmän yksilölliset tagien nimet ja kenttä / arvo-parit. Voit etsiä tietystä tagista nähdäksesi nopeasti kaikki kentät / arvot, joihin se liittyy. Voit helposti ylläpitää käyttöoikeuksia tietyn tunnisteen ottamiseksi käyttöön tai poistamiseksi käytöstä.
Katso alla oleva kuvakaappaus saadaksesi paremman käsityksen:
Nyt on kaksi tapaa etsiä tunnisteita:
- Jos joudumme etsimään arvoon liittyvästä tagista missä tahansa kentässä, voimme käyttää:
tag =
Yllä olevassa esimerkissä se olisi: tag = työntekijä2 - Jos etsimme tagia, joka liittyy arvoon määritetystä kentästä, voimme käyttää:
tag :: =
Yllä olevassa esimerkissä se olisi: tag :: emp_id = työntekijä2
Tässä blogissa olen selittänyt kolme tieto-objektia (Splunk-tapahtumat, tapahtuman tyyppi ja tunnisteet), jotka helpottavat hakujasi. Seuraavassa blogissani selitän lisää tietoaobjekteja, kuten Splunk-kentät, kuinka kentän purkaminen toimii ja Splunk-hakuja. Toivottavasti pidit lukemasta toista blogiani tieto-esineistä.
Haluatko oppia Splunkin ja ottaa sen käyttöön yrityksessäsi? Katso meidän täällä mukana tulee ohjaajan vetämä live-koulutus ja tosielämän projektikokemus.